Tecnologia

Google risolve due difetti zero-day ad alta gravità in Chrome

Google risolve due difetti zero-day ad alta gravità in Chrome

È tempo di aggiornare Chrome e ancora una volta, per il terzo mese consecutivo, Google ha corretto due bug “zero-day” precedentemente sconosciuti nel browser desktop più popolare al mondo.

Google ha rivelato di aver corretto i due difetti zero-day ad alta gravità nelle note di rilascio per il rilascio stabile di Chrome versione 95.0.4638.69 per Windows, Mac e Linux.

Qualsiasi numero di versione superiore a quello avrà le correzioni.

È una buona idea controllare la pagina di supporto di Google per gli aggiornamenti di Chrome, che spiega come impostare Chrome per l’aggiornamento automatico quando le patch diventano disponibili.

File:Google Chrome logo and wordmark (2015).png - Wikipedia

Altrimenti, Chrome ha un pulsante “Aggiorna” che è colorato in rosso se un aggiornamento ha almeno una settimana, indicando che dovrebbe essere installato.

I due difetti zero-day, che ora vengono sfruttati dagli aggressori, vengono tracciati con gli identificatori CVE-2021-38000 e CVE-2021-38003.

Entrambi sono stati trovati dal Threat Analysis Group (TAG) di Google, che tiene traccia delle attività di exploit sponsorizzate dallo stato e dei cyber-criminali.

Il secondo dei due zero-day è stato riportato anche da Samuel Groß di Google Project Zero il 26 ottobre, indicando la velocità con cui Google sta rispondendo alle scoperte zero-day.

CVE-2021-38000 è un difetto di progettazione dovuto a “convalida insufficiente di input non attendibili negli intenti”. E segnalato da TAG il 15 settembre.

CVE-2021-38003 – un difetto di corruzione della memoria, secondo il tracker zero-day di Google Project Zero – è descritto vagamente come “implementazione inappropriata in V8”. V8 è il potente motore JavaScript di Chrome che Groß spera di sostenere con ulteriori protezioni sandbox. Come ha notato nella sua proposta, i bug V8 consentono agli aggressori di creare “exploit insolitamente potenti” che sono difficili da mitigare con le tecnologie di sicurezza esistenti.

“Google è consapevole che esistono exploit per CVE-2021-38000 e CVE-2021-38003”, ha affermato Google nelle note di rilascio.

L’aggiornamento arriverà nei prossimi giorni o settimane, secondo Google.

Ci sono otto correzioni di sicurezza, per lo più legate alla memoria, in questo aggiornamento di Chrome.

Google non ha attribuito gli exploit a nessun gruppo di hacker.

Il fatto che Google abbia corretto un numero insolitamente elevato di difetti zero-day in Chrome nel 2021 potrebbe essere interpretato in diversi modi.

Più vengono scoperti e più velocemente vengono risolti tramite gli aggiornamenti è un bene per gli utenti finali.

Una volta patchato, l’exploit è meno prezioso.

Ciò potrebbe significare che i difensori stanno migliorando nell’individuare gli zero-day.

D’altra parte, Google Project Zero ha visto un aumento degli zero-day che ha colpito le principali piattaforme come Chrome, Windows e iOS nell’ultimo anno.

La ragione di ciò potrebbe essere la commercializzazione del mercato degli exploit zero-day, che fornisce una scorciatoia per l’acquisizione di exploit che altrimenti richiedono competenze per svilupparsi.

 

Playblog.it

Netflix        News        Serie TV        Film        Amine        

Apple        Android        Tecnologia        Prime Video        Offerte        Disney+

 

Seguici su Facebook      Twitter      Pinterest
Seguici su TelegramNetflixOfferte Amazon PrimePrime Video

POST CORRELATI

Twitter mostrerà solo gli account verificati nella sua pagina “Per te”.

Leonardo Playblog.it

La DRAM LPDDR5X di Samsung è stata convalidata per le piattaforme mobili Snapdragon

Leonardo Playblog.it

Intel svela ufficialmente Core i9 9900K, soprannominato “La migliore CPU di gioco al mondo”

Lascia un commento